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SlSTEMAS DE SEGURIDAD PARA QUEMADORES (BMS) 
Safety Note SN -3121 

FUNCIONES INSTRUMENTADAS DE SEGURIDAD PARA QUEMADORES DE CALDERAS Y HORNOS 



1. Diseno Conceptual de un Sistema de Seguridad para Quemadores (BMS) 

A fin de implementar un Sistema de Seguridad para Quemadores (BMS) que permita prevenir la 
explosion de la Caldera o del Horno de Proceso a proteger, de acuerdo con las Normas prescriptivas 
NFPA 86, FM 7605, FM 7610 y de performance de seguridad IEC 61508, IEC 61511 e ISA S84, con 
un Nivel de Integridad SIL 2 (valor de integridad promedio usualmente asignado para este tipo de 
aplicaciones), deberan tenerse en cuenta las siguientes consideraciones. 

En primer lugar, deberan usarse detectores de llama de alta discriminacion (sobre todo cuando 
se trate de Calderas u Hornos de multiples quemadores), para lograr una correcta deteccion de la 
llama del quemador sin confusion con otras fuentes de radiacion (paredes del hogar, llamas de 
quemadores vecinos), ya que la continua salida de gas desde un quemador apagado podra 
generar una explosion destructiva. 

Una explosion destructiva constituye el riesgo inherente mas alto en este tipo de aplicaciones. 
Este riesgo se calcula (en forma simplificada), como el producto entre la probabilidad de que se 
produzca una explosion destructiva y la magnitud del dano que pudiera ocasionar dicha 
explosion (dano severo o muerte de personas presentes en el area de la explosion, valor del 
equipamiento destruido, lucro cesante del proceso afectado, etc.), en caso de no implementarse un 
Sistema de Seguridad BMS. 

A fin de reducir el nivel del riesgo de que ocurra dicha explosion debera proveerse un Sistema 
BMS de Alta Integridad que provea Funciones Instrumentadas de Seguridad (SIF) cuyo Nivel 
SIL sea tal que se garantice que cualquier quemador que se haya apagado sea puesto 
inmediatamente fuera de servicio (SIF de shut-off del quemador por apagado de llama). 
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Estas SIF, independientes por cada Quemador, deberan utilizar Detectores de Llama, secuencias 
logicas dentro del Safety Logic Solver del BMS y Valvulas de Shut-off de combustible tambien 
independientes para cada quemador. 

El Nivel de Integridad Segura (SIL) de cada una de esas Funciones de Seguridad (SIF) dependera 
del nivel de riesgo tolerable establecido por el Usuario y del nivel de riesgo inherente de la 
aplicacion. 

El Usuario debera definir, por lo tanto, el PFD avg (Probaility of Failure on Demand promedio) o el 
SIL avg (SIL promedio) de las SIF que debera proveer el Sistema de Seguridad BMS, basando esta 
definicion en un Analisis de Riesgo preliminar (HAZAN, FTA, LOPA, etc.). 

Asimismo, el Usuario debera definir si el Sistema BMS debe ser solamente FAILSAFE o 
FAILSAFE / FAULT TOLERANT. 

La diferencia fundamental radica en las perdidas por lucro cesante tolerables por el Usuario. 
Es decir, un sistema FAILSAFE accionara ante la minima sospecha de situacion de peligro 
deteniendo el proceso, incluso cuando se trate de una "falsa alarma" (a esta detencion por falsa 
alarma se la conoce como "falla espuria segura" o "nuisance trip" y su probabilidad de ocurrencia o 
"PFS" se calcula como cantidad de fallas seguras que se produciran por ano). 

El lucro cesante se deriva generalmente del hecho que, luego de una parada del proceso, se 
requieren varias horas (y a veces dias) para rearrancar el mismo. 

Es decir, una falla espuria segura no causara danos al personal, al equipamiento o al medio 
ambiente, pero detendra el proceso causando danos economicos al Usuario. 

Cuando se decida utilizar un Sistema BMS FAILSAFE / FAULT TOLERANT, la probabilidad de 
tener paradas espurias y por lo tanto perdidas economicas sera reducida al mmimo 

(dependiendo esta reduccion del nivel de disponibilidad de todo el Sistema). 

Para el Sistema BMS objeto del presente analisis, se asume que el Usuario ha definido como 
objetivo un SIL avg de Nivel 2 (SIL avg = 2), valor usual en la Industria de Procesos. 
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Teniendo en cuenta el Ciclo de Vida de la IEC 61508 esto significa que: 

a) Por tratarse de un SIL avg = 2 existiran SIF de niveles SIL 1 , SIL 2 y SIL 3 

Varios estudios demuestran que en todo proceso de Nivel SIL 2 (promedio), existe al menos una SIF 
de Nivel SIL 3. Estadisticas realizadas en varias instalaciones de Sistemas Instrumentados de 
Seguridad (SIS) alrededor del mundo demuestran que, en promedio, alrededor de un 15% de las 
SIF de un Sistema SIS son de Nivel SIL 3 ("Future trends in SIS Logic Solvers", Eng. Kirk 
Fontenot). 

Ademas de las "SIF de shut-off por apagado de llama", las cuales constituyen el ultimo nivel de 
proteccion contra la explosion y poseen generalmente Nivel SIL 2 / SIL 3), el Sistema BMS debera 
proveer SIF de niveles SIL 1 y SIL 2 preventivas, como lo son las "SIF de shut-off" por alta o baja 
presion de gas, por baja presion o falta de aire de combustion, etc.. 

Cabe aclarar que el Nivel SIL define un rango de proteccion que va desde un valor mmimo a un valor 
maximo de Probabilidad de Falla en Demanda (PFD). 

Para el Nivel SIL 2 la PFD debe ser menor que 1E-2 y mayor que 1E-3, mientras que para SIL 3 la 
PFD oscila entre 1 E-3 y 1 E-4. El decir Nivel SIL 2 / SIL 3 significa que estas SIF requieren Niveles de 
PFD cuyo valor esta en el orden de 1 E-3. 

b) Las SIF de Nivel SIL 2 / SIL 3 podran ser reducidas a SIL 2 utilizando capas adicionales de 
proteccion y/o deberan utilizarse arquitecturas de proteccion SIL 3 para ejecutar dichas SIF. 

c) El Nivel de Proteccion SIL avg = 2 debera ser mantenido a lo largo de todo el Ciclo de Vida por 
medio de la prueba periodica, a intervalos regulares, del funcionamiento de todas las SIF 
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1.1 SIF de shut-off de quemadores por apagado de llama 

1.1.1 Sistemas de Monitoreo de Llama 

El primer eslabon en la cadena de seguridad de la "SIF de Shut-off por apagado de llama" lo 
constituyen los Sistemas de Monitoreo de Llama. 

Como se dijo anteriormente, los Sistemas de Monitoreo de llama deberan utilizar detectores 
FAILSAFE de alta discriminacion, para lograr una correcta deteccion de la llama del quemador sin 
confusion con otras fuentes de radiacion. 

Como se explicara tambien anteriormente, se considera que estas SIF son de Nivel SIL 2 / SIL 3. 
Para garantizar este Nivel SIL con detectores de llama standard se necesitara utilizar tres detectores 
en votacion 2oo3 por cada Quemador. 

Sin embargo, la utilizacion de Sistemas de Monitoreo de Llama FAILSAFE con Alta Cobertura de 
Diagnostico hara que solo se necesiten dos detectores en votacion 1oo2 para garantizar un 
Nivel SIL2/SIL3. 

Estos Sistemas de Monitoreo deberan estar aprobados por Organismos Independientes de 
Certificacion (FM, TUV, CSA, etc.) como sistemas de proteccion de quemadores segun la 
Norma FM 7610 "Combustion Safeguards and Flame Sensing Systems" y, muy probablemente, 
deberan poseer certificacion para su utilizacion en areas clasificadas Class I, Div 2, Groups B, C, 
y D (Zone 2), en caso que se defina el area donde ira instalado el cabezal de deteccion como Area 
Clasificada segun NFPA 70 Art. 500 (6 IEC 60079). 

1 .1 .2 Programmable Electronic Logic Controller (PESC) 

El segundo eslabon en la cadena de seguridad de las "SIF de shut-off por apagado de llama" y el 
corazon del Sistema BMS, responsable ademas de la ejecucion de todas las SIF, es el Safety Logic 
Solver o Programmable Electronic Safety-related Controller (PESC), como lo define la Norma 
IEC 61508. 
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El PESC se encargara de ejecutar las secuencias logicas de encendido y apagado seguro de todos 
los quemadores. Estas secuencias logicas estaran compuestas por la ejecucion combinada de varias 
SIF, de distinto Nivel SIL, entre ellas, las SIF de shutt-off por apagado de llama. 

En el caso de los Sistemas BMS, el PESC debera ser del tipo FAILSAFE De-Energize-To-Trip y 
estar homologado segun la Norma IEC 61508 tal como establece la Norma FM 7605, 
"Programmable Logic Control Based Burner Management Systems" (en los casos en los que se 
requiera ademas de Alta Disponibilidad Operativa con un muy bajo nivel de PFS, como se dijo en el 
punto 1, el PESC debera ser FAILSAFE / FAULT TOLERANT). 

La Norma IEC 61508 es muy especifica con respecto a la utilizacion de equipamiento Electrico, 
Electronico o Electronico Programable en aplicaciones de seguridad: la ejecucion de Funciones de 
Seguridad (SIF) sera responsabilidad de un Logic Solver Certificado por un Organismo 
Independiente, con un Nivel de Integridad (SIL) adecuado para el Nivel de Riesgo de cada SIF 
que deba ejecutar. 

No podra utilizarse, por lo tanto, ninguno de los controladores de secuencia de encendido de 
quemadores y supervision de llama utilizados antiguamente para este tipo de aplicaciones, a 
menos que posean esta Certificacion de Nivel de Integridad. 

Es decir, las SIF que ejecutara el PESC deberan garantizar el Nivel SIL en todas sus partes de 
hardware (CPU y modulos del PESC, dispositivos de campo), en su instalacion (conexiones a 
dispositivos de campo debidamente implementadas) y en su software de aplicacion, observando 
estrictamente las Normas Prescriptivas NFPA 86 y FM 7605 como asi tambien las Normas de 
Performance IEC 61508, IEC 61511 elSAS84. 

Como tambien se explico en el punto 1, el Nivel SIL de las SIF que ejecutara el PESC dependera 
fundamentalmente del Nivel SIL avg definido por el Usuario. 

Como la existencia de una unica SIF de Nivel SIL 3 requerira de un PESC apto para ese Nivel de 
Integridad, el PESC de un Sistema BMS debera estar certificado para la ejecucion de SIF de 
Nivel SIL 3 ("Future trends in SIS Logic Solvers", Eng. Kirk Fontenot). 
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El PESC del Sistema BMS debera incluir el suministro de un terminal de texto independiente de 
cualquier otro sistema de visualizacion, que mostrara todos los mensajes de advertencia y 

alarma relacionados con cada situacion anormal en la cual intervenga el Sistema de Seguridad. 

1.1.3 Valvulas de Bloqueos y Venteos de Gas 

El ultimo eslabon en la cadena de seguridad de las "SIF de shut-off por apagado de llama" y quiza el 
mas importante desde el punto de vista que es este el que efectivamente realiza el corte de 
suministro del combustible y pertenece, portanto, a esta y otras SIF del Sistema BMS, lo constituyen 
las Valvulas de Shut-off y Venteo. 

Estas Valvulas deben estar aprobadas por FM u organismos similares "para su uso especifico 
como valvulas de shut-off de quemadores" segun FM 7400, "Liquid and Gas Safety Shutoff 
Valves", para el uso especifico de Shut-off Seguro de quemadores, con cierre hermetico 
superior a Class VI segun ANSI/FCI 70-2. 

El corte de combustible segun NFPA debe realizarse utilizando dos valvulas de Shutt-off en 
cascada, con una valvula de Venteo conectada en el tramo que las une, para la alimentacion 
de cada quemador. 

Para aplicaciones de Nivel SIL 2 / SIL 3, ademas, los cierres shut-off deben ser de nivel de 
hermeticidad garantizado, leakage Class VI segun ANSI/FCI 70-2, de larga vida util, dado el bajo 
nivel de prueba manual en este tipo de instalaciones (generalmente no menos de una vez cada 12 
meses), para sostener la garantia de integridad segun los pasos del Safety Life Cycle indicado por 
las IEC 61508. 

Es imprescindible, ademas, que el accionamiento de las Valvulas de Bloqueo sea FAILSAFE 
(FAIL CLOSED), es decir, que ante cualquier falla las Valvulas de Bloqueo cierren el paso de gas y 
que las Valvulas de Venteo sean FAILSAFE (FAIL OPEN), es decir, que ante cualquier falla el 
venteo se abra. 
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No obstante, deberan tomarse precauciones a fin de evitar que un Venteo se abra cuando alguno de 
los dos Bloqueos este abierto, para lo cual es necesario monitorear el estado (apertura y cierre) 
de cada Valvula. 

Esto hace que sea necesaria la implementation de SIF con logica de enclavamiento en el PESC, con 
el consecuente cableado de senales de entrada y salida para cada valvula (tres solenoides y seis 
detectores de posicion por cada quemador). 

Como configuracion alternativa a este conjunto (dos valvulas de shut-off y una de venteo), se 
pod ran utilizar "valvulas de triple efecto". 

Estas valvulas tienen un unico cuerpo y ejecutan, sobre un unico vastago, y sin errores o 
desfasajes, las tres acciones mencionadas, dos de Shut-off y una de Venteo, utilizando la tercera 
parte de las senales necesarias para una solucion convencional y sin necesidad de la SIF de 
enclavamiento en el PESC. 

De esta forma, la instalacion ocupara muy poco espacio y tendra un costo de instalacion 
mucho mas bajo (por requerir la tercera parte de bridas, tramos de canenas, soldaduras, canenas y 
cableados electricos, mano de obra, etc., que se necesita para una instalacion convencional de tres 
valvulas por cada alimentation). 

Se disminuiran ademas las tareas de mantenimiento preventivo y correctivo. 

Se preferira la utilizacion de solenoides de comando neumatico con bobinas de 24 Vdc, de conexion 
directa al PESC, para evitar la utilizacion de reles de aislacion y su correspondiente logica con 
integridad SIL2/SIL 3. 

1.2 Otras SIF de prevencion de explosiones 

Elementos fundamentales para la ejecucion de las SIF de prevencion del Sistema BMS (con niveles 
de integridad SIL 1 y/o SIL 2), son los Presostatos de gas combustible, los Transmisores de Presion 
del aire de combustion, y los Sensores de Posicion de Valvulas y Dampers. 
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A fin de garantizar el Nivel SIL de cada SIF deberan utilizarse dispositivos de contactos 
supervisados o transmisores analogicos, debiendose implementar las votaciones necesarias 
que garanticen el PFD correspondiente. 

Cuando se utilicen Presostatos (dispositivos de contacto), la obtencion del Nivel SIL 2 se 
garantizara con la implementacion de dos detectores en votacion 1oo2. Asimismo, los 
contactos de cada uno de ellos deberan estar supervisados para detectar eventuales corto- 
circuitos y/o cables a masa y/o cables cortados. 

Cuando se utilicen Transmisores de Presion, se dara preferencia a los que posean Cobertura de 
Diagnostico superior al 65% y en lo posible que sean certificados para aplicaciones de Nivel SIL 

2 (en este caso un solo transmisor sera suficiente para garantizar este Nivel de Integridad). 

Para la deteccion de posicion de valvulas y dampers, deberan utilizarse configuraciones de 
contactos en votacion cuando se utilicen microswitches estandar. 

En caso de utilizar detectores de posicion certificados para Categona 4 segun EN 954, un solo 
detector garantizara un Nivel de Integridad SIL 2 (o SIL 3). 

2. Ingeniena del Sistema BMS 

Tal como establece la IEC 61508 para el Ciclo de Vida del Sistema de Seguridad, la Ingeniena del 
Sistema en su totalidad, incluyendo las correspondientes a la instalacion de los elementos de 
campo y a la instalacion, programacion y puesta en marcha del PESC, debera ejecutarse de forma 
tal de garantizar el Nivel de Integridad SIL avg y el Nivel SIL (SIL 1 , 2 6 3) de cada funcion SIF. 

2.1 Ingeniena de la Instrumentacion 

Seguramente resultara conveniente o necesario ejecutar "a priori" un HAZOP del Proceso previsto, 
para verificar el Nivel de Integridad SIL (promedio) especificado y definir las cantidades y tipos 
definitivos de los componentes de campo a utilizar. 
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Las exigencias actuales de seguridad obligan a un trabajo de Ingeniena de Instrumentacion que 
disene cuidadosamente un eficiente esquema de operatividad y sus automatismos de proteccion de 
acuerdo con las Normas. 

Esta Ingeniena debera ser desarrollada por un Integrador de Sistemas de Seguridad con alto 
grado de experiencia y confiabilidad, incluyendo la provision de tipicos de montaje y un listado 
completo de la instrumentacion necesaria para cumplir con el Nivel SIL y con la disponibilidad del 
Sistema requeridos por el Usuario. 

2.2 Ingeniena de Programacion, Commissioning y Puesta en Marcha del PESC 

Por tratarse de un Sistema de Seguridad homologado con las Normas IEC 61508, IEC 61511 e ISA 
S84.01, la programacion del PESC debe seguir estrictos criterios de programacion, validacion 
y verificacion de las secuencias y algoritmos logicos correspondientes a cada SIF, sobre todo 
para aquellas de Nivel SIL 2 / SIL 3 relacionadas con el shut-off por apagado de quemadores. 

Para la programacion de SIF de Niveles SIL 2 / SIL 3 se utilizaran preferentemente Bloques de 
Programacion Certificados y Programacion Estructurada. 

Se proveera ademas un diagrama de flujo para cada SIF, indicando claramente las previsiones de 
seguridad tomadas para cada condicion de falla. 

Se proveera ademas un listado completo de mensajes de advertencia y alarma (los cuales seran 
mostrados en un terminal de texto independiente de cualquier otro sistema de visualizacion 

provisto junto con el PESC), para cada situacion en la cual intervenga el Sistema de Seguridad. 

Asimismo, la provision del FAT (Factory Accepttance Test), con simulacion operativa de todas las 
SIF y los servicios de OSAT (On-Site Acceptance Test), Commissioning y Puesta en Marcha en 
Planta del Contratista y/o del Usuario, debera estar garantizada por el Integrador del Sistema de 
Seguridad. 

Ricardo A. Vittoni - FSS 
Functional Safety Specialist 
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